IP.Board Security Enhancements

We are releasing three minor security updates to address issues recently reported regarding areas of IP.Board 2.3.1. These security issues are rather low priority and require specific sets of circumstances to be utilized. Even then the impact is minimal due to other security features in the software.


Issue 1 (Reported by http://www.turkish-media.com/forum/ )

If you use a character set other than iso-8859-1 or utf-8, it is possible to submit javascript to your user profile fields. The potential damage is mitigated by the use of httpOnly cookies in IP.Board. Please note that IP.Board ships with iso-8859-1 set by default. Therefore, unless you have specifically changed the character set in the Admin CP your installation is not impacted by this issue.

Issue 2 (Reported by http://www.criticalsecurity.net/ )

A user is able to upload a non-image file if the file is given an image name in a specific format. The security implications are very low because IP.Board automatically resets the file to a .txt file and treats it as such, however this could result in broken photo or avatar images being displayed, and script files with a .txt extension saved in your uploads directory. Again the potential damage is mitigated by the use of httpOnly cookies in IP.Board thereby disallowing javascript access to cookies.

Issue 3 (Reported by http://communityseo.com/forums/ )

If you have subscription packages enabled on your site using the subscriptions manager included with IP.Board which promote a paying user to a new user group, it is possible to recraft a payment form to set the member's ID to a different member. The issue would require that an actual valid payment is made and no unauthorized access could be gained, however a specially crafted form could result in all administrators/moderators of a site being demoted to a subscriber group, for example. The reverse, a user being promoted to admin, is not possible in this issue.


Patching Your IP.Board

The IP.Board 2.3.1 download in the client area has already been updated with the required changes. If you download IP.Board after the date of this announcement your installation will be up to date.

Changed Files
Download the zip file below which includes only the changed files for this update. Simply upload and overwrite the old files.
http://forums.invisionpower.com/index.php?...st&id=11869

Manual Instructions
The following file contains manual patch instructions for those who want to edit php files by hand.
http://forums.invisionpower.com/index.php?...st&id=11870

View the full article

...

Bu ileti Ke[R]eM tarafından 14.09.2007, 18:35:16 yeniden düzenlenmiştir.

Haber için teşekkürler.

np ama senden baska ilgilenen olmamıs bide güvenlik güvenlik die gezio herkes ortada (IMG:http://www.ipbaccess.com/forum/style_emoticons/default/smile.gif)

Türkçesinde birşey anlamadım (IMG:http://www.ipbaccess.com/forum/style_emoticons/default/biggrin.gif)
Ekteki dosyaları sanırım eskileriyle değiştireceğiz.
Birde şu linkteki sayfa bozulmuş mu ne anlamadım, http://forums.invisionpower.com/index.php?...st&id=11870

bozulma yok direk linkler bunlar (IMG:http://www.ipbaccess.com/forum/style_emoticons/default/wink.gif)

Bu link daha sağlam :
http://forums.invisionpower.com/index.php?showtopic=237075

Tamam hemen eskilerinin üzerine atıyorum bu yeni dosyaları, teşekkürler

arkadaşlar bu dosyalar 2.3.x içinde yapılması gerekiyormu?Bu dosyaları eskileri ile değiştirdiğimiz zaman eklentilerde bi sorun olurmu acaba?Güvenlik Eklentisi olarak mı geçiyor bu dosyalar?dosyaları inceleğimde ajax dosyaları olduğunu görüyorum.ajax la ilgili bişey mi acaba?

Bu dosyalar 2.3.1 için.
Eklentilerinizi etkileyebilecek bir durum yok.
Ayrıca ajax dosyaları değiller, uzantılarına bakınız .php
Güvenlik genişletmesi.

benim forumunun lisanslı değil DG* kullanıyorum.Birazdaha üyem ve ziyaretçim çoğaldıktan sonra lisansını alacağım inş.Bu lisansı olmayan arkadaşların yüklemesinde bir sakıncası varmı acaba?

IPB scriptini lisanssız kullanmak suçtur, yamalarını da. (IMG:http://www.ipbaccess.com/forum/style_emoticons/default/excl.gif)

Bu dosya değişikliklerini yaptıktan sonra Konu içinde gösterdiğim Adsense reklamları çıkmamaya başladı. (IMG:http://www.ipbaccess.com/forum/style_emoticons/default/Thinking.gif)